【IT168 评论】SDN将打破了原来的VLAN规则，带来了新的网络安全问题，我们需要改变，才能利用SDN提供的机遇，改善企业安全。

　　我们管理企业网络的方式，未来将要有一个很大的改变---SDN架构，但更重要的是将SDN覆盖技术放到云中可能会产生安全问题，如果一项技术就彻底瓦解了已经运行了近20年之久的默认契约，我将之称作“VLAN契约”。

　　VLAN契约存在于网络团队和开发团队之间，这种默认契约的基本内容是：“我会给你一个网络(VLAN)，而且这个网络只属于你，它不会被破坏或过滤，分配给你的IP地址不会用在其他地方，你可以随意对你的网络进行操作，但是一旦数据超过这个网络的边界，那数据就归我管了，原来的规则也就不再适用。”

　　事实上，在原来的轴辐式安全模式中，对于企业设计和思考网络与安全部署而言，VLAN契约是非常重要的，遗憾的是，云，特别是云系统中的SDN应用，基本上都打破了VLAN契约，而且还可能造成网络工程部与开发部门之间的失联。

　　如你所知，SDN技术将网络基础设施虚拟化了，将物理层从逻辑层分离出来。你所接触的网络减少了传统802.1QVLAN的特性，而增加的是所谓 “虚拟网络”的特性，它与基于硬件的网络有显著不同，其效果却是一样的：你正把Layer 2 以太网域名分给那些期待传统VLAN契约可起作用的客户(程序员)。

　　不幸的是，由于SDN是软件覆盖，默认契约的许多项目都可以被打破，你所知道的只是你的网络被导向了WAN。是什么让安全团队在面对疯传的蠕虫病毒时，甚至是在同一个虚拟网络上两个虚拟服务器之间也停止部署全球过滤器呢?什么都没有。

　　契约被破坏其实无可非议。新的技术和功能会一直改变我们所建系统的潜在设想。问题是我们不是在勇往直前。云和SDN将在安全和网络性能方面为我们带来挑战，而与此同时它们也提供着少有的机遇。

　　例如，边界防火墙在90年代末已经非常普及，但现在几乎没有价值——问题在于基于端口的过滤器只能到达这么远。虽然在智能的，基于协议的过滤器方面还有一些值得注意的进步，但这些最终也将被颠覆。这就好像军备竞赛一样。安全要边界化，而且要与所保护的数据关系更紧密一点。

　　云和SDN带来了机遇，接受这种改变将极大改善安全现状。使用SDN技术的分布式状态防火墙会在同一网络的两个服务器之间进行安全部署，在以前使用桥接防火墙的时候，虽然也可以从技术上实现这一点，但在维护方面却复杂而困难得多。同样，也可以借SDN技术来利用按需供给的IPS/IDS。从字面上来看，这完全是个有待开发的新领域。

　　真正的挑战在于，我们要尽快从原来解决网络和安全问题的思维局限中跳出来。我们必须理解基础设想，如VLAN契约正在失效，原有的轴辐式边界安全模式早已被打破。一旦我们认识到这一点，我们就会有所启发，会用创新思维来思考如何结合云和SDN技术来解决这些问题。

   原文地址：http://www.networkcomputing.com/networking/sdn-and-breaking-the-vlan-contract-/a/d-id/1269406